sslug-teknik team mailing list archive

Thread
Date

Re: Firewall

To: sslug-teknik@xxxxxxxx
From: storner@xxxxxxxx
Date: 19 Mar 2000 10:19:19 +0100
Delivered-to: mailing list sslug-teknik@xxxxxxxx
Mailing-list: contact sslug-teknik-help@xxxxxxxx; run by ezmlm
Newsgroups: sslug.teknik
Organization: Linux Users Inc.

In <38D426BC.E846CF3D@xxxxxx> Rasmus Resen Amossen <spunk@xxxxxx> writes:

>> Det nytter jo ikke noget at du lader Linux maskinen være åben, så den
>> kan hackes - hvis det kan gøres, er der jo også adgang til det interne
>> netværk.

>At hacke den betyder vel i bund og grund, at ændre på dens opsætning.
>Men dette kræver jo rootpassword og eftersom ingen kender dette password
>kan de ikke hacke den. Hvad har jeg misforstået?

Ikke nødvendigvis. Hvis jeg ændrer Den Danske Bank's hjemmeside, så der
står at de henviser alle privat-kunder til at skifte til Unibank, så vil
jeg kalde det at "hacke" deres hjemmeside. Og til det formål behøver
jeg formentlig slet ikke den totale adgang, der følger med et root-
password.

Der er mange grader af at have hacket et system - administrator adgang er
kun een af dem.

>> Adgang til DMZ systemerne udefra opnås ved at forbindelser til en
>> f.eks. port 80 på firewallen redirectes (af firewall'en) til port
>> 80 på web-serveren.

>Smart smart smart!
>Dvs. jeg kan opstille alverdens servere i DMZ-zonen og når man skal have
>fat i disse udefra, kommunikerer man gennem en dertil oprettet port i
>firewallen?!

Nemlig. Udefra ser det ud som om alle services kører på firewall'en,
men i virkeligheden laver den bare en "gennemstilling" til en eller
anden server inde i DMZ området. Ofte vil man så have flere servere
i det område, så f.eks. mail og web ligger på forskellige maskiner.

[ftp server, file server ...]
>Jeg har vitterlig brug for en sikker løsning, hvor folk i virksomheden
>kan arbejde med deres kildetekster, ude såvel som hjemme.

Jeg er ikke sikker på, at jeg helt forstår hvad det er du forsøger at
stable på benene. Og når jeg ikke helt forstår hvad du vil, er det
farligt at begynde at give gode råd om sikkerheden i det! Det bedste
ville nok være, hvis du uden at spekulere på teknikken i det forklarede,
hvad det er dine brugere gerne vil kunne gøre. Så må vi se om der
findes en måde, det kan laves sikkert på.

Jeg har en fornemmelse af, at det de spørger efter er en file-server
(via Samba eller ftp) hvor de kan læse og skrive filer, både når de
er forbundet via Internet (hjemmefra), og via det interne LAN (når
de er på arbejde). Sådan en løsning bliver meget vanskelig at gøre
100% sikker - når der skal være læse/skrive adgang fra Internet
siden, vil sikkerheden næppe kunne blive bedre end sikkerheden i et
almindeligt password (som kan aflyttes). Det kan forbedres med ting
som Secure Shell (ssh), men det er vanskeligt at bruge fra Windows-
klienter.

Den rigtige måde at lave det på ville nok være en eller anden form 
for VPN (Virtual Private Network), men det er en lidt større sag.

-- 
Henrik Storner     | "Software engineering is a race between engineers 
<storner@xxxxxxxx> |  who try to create foolproof software and the 
                   |  universe which is trying to create bigger fools.
                   |  So far, the universe is winning..."

References

Firewall
From: Rasmus Resen Amossen, 2000-03-18
Re: Firewall
From: storner, 2000-03-18
Re: Firewall
From: Rasmus Resen Amossen, 2000-03-18